完整版渗透测试方案Word文档格式.docx
- 文档编号:20782244
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:6
- 大小:17.07KB
完整版渗透测试方案Word文档格式.docx
《完整版渗透测试方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《完整版渗透测试方案Word文档格式.docx(6页珍藏版)》请在冰豆网上搜索。
伴随业务的发展,原有的网站、系统、APP等都进行了不同程度的功能更新和系统投产,同时,系统安全要求越来越高,可能受到的恶意攻击包括:
信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹、APT攻击等.这些攻击完全能造成信息系统瘫痪、重要信息流失。
2.测试概述
2.1.测试简介
本次测试内容为渗透测试。
渗透测试:
是为了证明网络防御按照预期计划正常运行而提供的一种机制.
2.2.测试依据
※GB/T25000。
51-2010《软件工程软件产品质量要与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》
※GB/T16260—2006《软件工程产品质量》
※GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》
※GB/T20274-2006《信息系统安全保障评估框架》
※客户提出的测试需求
2.3.测试思路
2.3.1.工作思路
本次系统测试包括功能测试、性能测试、安全测试以及文档测试,本次测试工作将系统测试对象进行控制点划分,依据项目建设要求和相关标准、规范进行项目系统测试,并加强系统各阶段测试和实施过程控制,完善项目目标控制手段。
2.3.2.管理和技术要求
1、管理要求
为了保证本项目系统综合测试的顺利进行,将对项目实施事前评审和测试过程监督测试管理工作,合理分配项目人员负责相应的测试工作。
2、技术要求
为了保证本项目系统测试的顺利进行,在本次测试过程中将采取如下技术要求:
※渗透测试:
验证系统设计的安全性是否满足客户需求。
2.4.人员及设备计划
2.4.1.人员分配
本次测试组织机构和人员分配如下:
项目管理组:
杨方秀
现场测试组:
屈绯颖、王洪斌、
项目文档组:
龚正
质量控制组:
杨方秀、屈绯颖
2.4.2.测试设备
序号
设备或仪器名称
功能描述
数量
产地
备注
1.
TestManager
测试管理
1
IBM
2.
ClearQuest
缺陷跟踪
3.
xscan
用于安全测试的漏洞扫描工具
4.
测试机
2
国产
3.测试范围
检测分类
检测范围
Web网站
SQL注入
XSS跨站脚本
网页挂马
缓冲区溢出
文件上传漏洞
源代码泄露
目录浏览、遍历漏洞
数据库泄露
弱口令
越权访问
会话验证绕过
管理地址泄露
舆论信息检测
中间件漏洞
支付安全验证
其他(如:
写入控制,防止批量添加数据,是否使用验证码等)
SOA服务端
写入控制,防止批量添加数据,是否使用验证码等)
APP源生客户端
组件安全检测
代码安全检测
内存安全检测
数据安全检测
业务安全检测
应用管理检测
服务器
身份鉴别
自主访问控制
强制访问控制
可信路径
安全审计
剩余信息保护
入侵防范
恶意代码防范
资源控制
数据库数据安全
4.测试内容
检测项目
检测子类
类型
扫描测试
渗透测试
当日达
前端SSO单点登录网站
WEB
√
后端SSO单点登录网站
当日达商城4期前台网站
当日达商城3期后台
当日达商城4期后台
砸金蛋活动
砸金蛋后台
一元云购
月月抢神器
滴滴贴膜
快递查询(PC端)
快递查询(移动端)
中国人民不断电
千城通APP
APP
千机团
网站+APP
WEB+APP
进销存
IMS进销存系统
IMS进销存管理工具
品胜云
路由器固件升级后台管理
品胜云3.2(手机版)
品胜云2。
0(IPAD版)
品胜云3。
3(手机版)
品胜商城1.0
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 完整版 渗透 测试 方案